Sommaire
Ah, la sécurité… une affaire qui n’a rien de drôle !
Vous tenez un site e-commerce WooCommerce ou une marketplace multi-vendeurs avec le plugin Dokan Pro ? Alors accrochez-vous, car on a une mauvaise nouvelle pour vous. Des chercheurs en sécurité viennent de découvrir des vulnérabilités critiques dans ces deux plugins populaires. Heureusement, on va vous expliquer tout dans les moindres détails pour que vous puissiez prendre les mesures nécessaires et protéger votre site. Parce que la sécurité, c’est une affaire sérieuse qui n’a rien de drôle !
WooCommerce et Dokan Pro : une petite présentation s’impose
Commençons par les bases. WooCommerce est un plugin incontournable pour transformer votre site WordPress en une véritable boutique en ligne. Avec plus de 5 millions d’installations actives, c’est l’un des plugins les plus populaires de la galaxie WordPress. Quant à Dokan Pro , il permet de transformer votre site WooCommerce en une marketplace multi-vendeurs digne d’Amazon ou d’Etsy. Pratique, non ? Avec plus de 50 000 installations, ce plugin a su séduire de nombreux e-commerçants.
La faille XSS de WooCommerce : une croix à faire
Eh oui, même les plus grands peuvent trébucher.
WooCommerce a publié un avertissement concernant une vulnérabilité XSS (Cross-Site Scripting) affectant les versions 8.8.0 et supérieures.
Pour ceux qui n’ont pas suivi les derniers épisodes de « Jargon Technique, la Série », le XSS permet à un attaquant d’injecter du code malveillant dans une page web. Concrètement, cela pourrait permettre à un pirate de votre boutique en ligne de faire des choses pas très cool, comme voler les données de vos clients ou même prendre le contrôle de leur session.
Heureusement, cette vulnérabilité n’affecte que les utilisateurs ayant activé la fonctionnalité « Order Attribute ». Mais WooCommerce vous recommande quand même fortement de mettre à jour vers la version 8.9.3 dès que possible. Parce que mieux vaut prévenir que guérir, n’est-ce pas ?
Gravité de la faille XSS
La vulnérabilité XSS de WooCommerce a reçu un score de 5.4 selon le système d’évaluation de gravité CVSS (Common Vulnerability Scoring System). Ce n’est pas catastrophique, mais pas non plus négligeable.
WooCommerce insiste donc pour que les utilisateurs concernés mettent à jour le plugin dès que possible.
La faille SQL Injection de Dokan Pro : l’attaque fatale
Mais ce n’est pas tout ! Wordfence, une société spécialisée dans la sécurité WordPress, a également découvert une vulnérabilité critique dans le plugin Dokan Pro. Et là, on passe dans une toute autre catégorie de risque.
Il s’agit d’une vulnérabilité de type SQL Injection . Pfiou, ça fait peur rien que de l’écrire ! Concrètement, cette faille permet à un attaquant non authentifié (c’est-à-dire sans avoir besoin de se connecter) d’extraire des informations sensibles de la base de données de votre site. Autant vous dire que c’est le pire cauchemar pour un site e-commerce.
Un score de gravité de 10/10 pour Dokan Pro
Cette vulnérabilité a reçu le score de gravité maximum selon le système CVSS : 10 sur 10. Oui, vous avez bien lu, le niveau le plus élevé !
Les utilisateurs du plugin Dokan Pro sont donc instamment priés de mettre à jour vers la version 3.11.0 dès que possible.
Car avec une telle faille, votre site pourrait se faire complètement dévaliser par des pirates peu scrupuleux.
Les éditeurs en mode « Omerta » ?
Vous vous demandez peut-être pourquoi vous n’avez pas été prévenus plus tôt de ces failles de sécurité ? Eh bien, selon Wordfence, les équipes derrière WooCommerce et Dokan Pro n’ont pas vraiment été transparentes dans leurs notes de mise à jour.
Pour WooCommerce, la vulnérabilité XSS est mentionnée, mais de façon assez vague. Quant à Dokan Pro, le changelog de la version 3.10.4 (censée corriger la faille) ne mentionne rien de spécifique. Selon Wordfence, il est possible que les éditeurs aient voulu éviter d’attirer l’attention des pirates en restant discrets sur ces failles critiques.
Quel manque de transparence, vous ne trouvez pas ?
Personnellement, je trouve cette stratégie discutable. Certes, on ne veut pas donner trop d’informations aux attaquants potentiels. Mais de l’autre côté, les utilisateurs ont le droit d’être informés des risques pour leur site et leurs données. Un peu plus de transparence de la part des éditeurs aurait été appréciable.
Les hébergeurs web en première ligne ?
Maintenant, une question se pose : les hébergeurs web ne devraient-ils pas être plus proactifs dans la gestion des mises à jour de sécurité critiques ? Après tout, ils ont un rôle clé à jouer pour protéger les sites de leurs clients.
Adam J. Humphreys, expert en développement web et marketing de recherche chez Making 8, inc., estime que les hébergeurs devraient être plus agressifs sur ce sujet, même si cela risque de causer quelques conflits avec d’autres plugins ou thèmes installés sur les sites.
Selon lui,
la plupart des hébergeurs n’effectuent aucune mise à jour de plugins, même pour les correctifs de sécurité critiques, jusqu’à ce qu’une mise à jour majeure de WordPress soit disponible.
Un problème lié au fait que WordPress n’a toujours pas de système de mise à jour automatique intégré.
Adam poursuit en affirmant que même les hébergeurs dits « gérés » comme WPEngine ne font pas les mises à jour de sécurité avec la fréquence nécessaire. Une situation qu’il juge préoccupante, étant donné que la moitié des sites web sont construits avec WordPress.
La sécurité, une priorité pour tous
Au final, ces vulnérabilités récentes dans WooCommerce et Dokan Pro nous rappellent à quel point la sécurité est importante, que vous soyez un petit site ou une grosse marketplace. Les éditeurs, les hébergeurs et les utilisateurs ont tous un rôle à jouer pour assurer la protection des données et des sites web.
Alors n’attendez plus et mettez à jour vos plugins dès que possible ! La sécurité, ce n’est pas drôle, mais c’est indispensable pour profiter sereinement de tous les avantages du e-commerce et des marketplaces en ligne.
Le résumé pour les pressés
- WooCommerce est affecté par une vulnérabilité XSS (score 5.4/10)
- Dokan Pro est touché par une faille SQL Injection critique (score 10/10)
- Les utilisateurs sont invités à mettre à jour en urgence
- Les éditeurs auraient pu être plus transparents sur ces failles
- Les hébergeurs web devraient être plus proactifs sur les mises à jour